So, ich hab jetz endlich die Zeit für einen weiteren Marathon-Post gefunden:
>>Diesbezüglich halte ich den NT-Kern für vollkommen C2-konform.
Und C2-Konformität garantiert zumindest dafür, dass ein bereits laufendes System vollständige Sicherheit verschafft. Unter Zuhilfenahme von Dateisystemverschüsselung sind sogar nur noch hardwareseitige Angriffe möglich, die nicht zur Zerstörung, sondern zur Beschaffung von Daten dienen sollen. 1.) Ein System ist nicht C2-konform, diese tolle Zertifizierung sagt nur aus, dass man aus diesem System ein C2-konformes System basteln kann
2.)Ein vollständig C2-konformes System ist für Privatanwender und Firmen fast unmöglich, der Aufwand, der dafür betrieben werden muss, kann wirklich nur von militärischen Stellen betrieben werden.
>>Verstehst du nicht? Gerade deshalb braucht man eine PF. Weil man nicht alle Lücken stopfen kann - weil man viele einfach gar nicht kennt. Und wer nicht soweit denken kann, der braucht auch keine PF. Wenn du nicht alle Lücken stopfen kannst, weil du sie nicht kennst, wie soll sie dann eine PF stopfen können, deren Programmierer sie auch nicht kennen? Haben die Herren von Symantec eine Kristallkugel?
Ausserdem: Solange du eine "Firewall" benutzt, deren Programmcode nicht open source ist, weisst du noch nicht einmal, was deine "Firewall" da macht, und damit willst du dein System sicherer machen?
>>Es geht ja auch nur darum, dass die PFs theoretisch durch echte Fehler im BS beendet werden können. Dazu müssen diese aber erstmal bekannt und dann auch noch nicht gestopft sein. Dass genau dies aber auch eine höhere Priorität hat, sollte ja wohl klar sein.
Und unter strikter Trennung der Accouns und eingeschränkten Rechten gibt es theoretisch keinen möglichen Weg, mit irgendwelche legitimen oder unlegitimen Mitteln die PF zu killen. Was nützt einem die tollste Theorie, wenn es in der Praxis doch immer neue Wege gibt? Schau dir nur mal Xaffords Punkte 1+2 an.
>>Aber nur solange, wie die Bugs auch wirklich der Art sind, dass sie dem Angreifer zusätzliche rechte verschaffen würden. Wenn's nur darum geht, dass die FW ausfällt bzw. umgangen werden kann, ist da kein Unterschied. Dummerweise sind fast alle Bugs von PFs Spielereien mit den Dateien selber, was einer Firewall auf einem seperaten System ziemlich egal ist, und solange die Pf auf dem System ist, auf dem alle Programme und Scripte ausgeführt werden, wird es immer eine Möglichkeit geben, sie zu manipulieren.
>>weil DTFs meist billiger sind und mehr können. Mal eben Linux auf einen ausrangierten Rechner zu kloppen (ich weiss, ganz so einfach ist es nicht) ist teurer als das neueste Super-Hyper-Mega-Security-Packet von Symantec?
Und ausser Application-Firewalling, was eine ziemliche Sicherheitslücke ist, können PFs auch nicht gerade mehr als Hardware-Firewalls (ausser vielleicht Meldungen Marke "böser Hackerangriff abgefangen" auszugeben).
>>Erzähl das Symantec, nicht mir! Bei mir ist Microsoft genauso vertrauensunwürdig wie all anderen. Wie alle anderen, also auch wie Symantec? Und warum lässt du dann von einer vertrauensunwürdigen Software deinen kompletten Traffic (zumindest den, der nicht an der PF vorbeigeht) überwachen?
>>Selbiges gilt doch auch für Hardware. "Wenn ich Zyankali trinke, bin ich tot"
-"Selbiges gilt doch auch, wenn du dich erschießt"
Kann man deshalb bedenkenlos Zyankali trinken? ;)
Tyrfing
